6. FirewallとAccess Control List
• Firewall (FW)
ある特定のコンピュータネットワークとその外部との通信を
制御し、内部のコンピュータネットワークの安全を維持する
ことを目的としたソフトウェア(あるいはそのソフトウェア
を搭載したハードウェア)の技術概念
ファイアーウォール - Wikipedia
http://ja.wikipedia.org/wiki/%E3%83%95%E3%82%A1%E3%82%A4%E3%82%A2%E3%83%BC%E3%82
%A6%E3%82%A9%E3%83%BC%E3%83%AB
• Access Control List (ACL)
アクセス制御リスト(アクセスせいぎょリスト、Access
Control List、ACL)とは、オブジェクト(受動体)に付属す
る許可属性のリスト。コンピュータセキュリティにおけるア
クセス制御を実現するために、誰にどのリソース(受動体)
に対するどの操作を許可するかを列挙したもの。
アクセス制御リスト - Wikipedia
http://ja.wikipedia.org/wiki/%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E5%88%B6%E5%BE
%A1%E3%83%AA%E3%82%B9%E3%83%88
6
7. FirewallとAccess Control List
• パケットフィルタ型FWについて扱う場合、
ACL = パケットフィルタのルール
– 複数のエントリ(ACE: Access Control
Entry)の集合
– 特定のトラフィック(フロー)を識別する情報
+ 識別した情報に対するアクションの定義。
• アクセス制御 セキュリティ対策
– 余計な物は見せない触らせない。
7
8. ACL実例 (Cisco IOS)
ip access-list extended GI0-OUT
エントリ
deny
ip any 10.0.0.0 0.255.255.255 log
(ACE)
deny
ip any 172.16.0.0 0.15.255.255 log
deny
ip any 0.0.0.0 0.255.255.255 log
deny
ip any 127.0.0.0 0.255.255.255 log
deny
ip any 192.0.2.0 0.0.0.255 log
deny
ip any 169.254.0.0 0.0.255.255 log
deny
ip any 224.0.0.0 31.255.255.255 log
アクション
フローの
remark vpn
識別
permit udp any eq isakmp any
remark permit to 6to4
permit ip any 192.88.99.0 0.0.0.255
permit 41 any 192.88.99.0 0.0.0.255
remark permit any from inside to outside
permit icmp any any
permit ip any any reflect iptraffic timeout 300
deny
ip any any log
!
8